「マリオット・インターナショナル」に135億円の制裁金 ICO意向発表

イギリスの情報監査機関「ICO」は、世界規模でブランドのホテルや宿泊施設の運営を手掛けるアメリカ企業「マリオット・インターナショナル」に対して、9920万ポンド(約135億円)の制裁金を科す意向との情報を公表しました。
先日の「British Airways」の個人情報保護違反に対するペナルティ提起から立て続けの発表となります。

5億人の顧客情報流出問題と原因

発端となるのは、昨年11月にマリオット・インターナショナルが発表した、世界規模で発生した顧客情報の流出問題です。
この問題で、同社の宿泊施設予約などを利用したユーザーおよそ5億人の名前、生年月日、性別、予約日、出発および到着時刻などの個人情報が外部に流出したことが確認されております。

これはハッカー集団による外部からのサイバー攻撃が原因とみられており、同社のネットワーク内に侵入され情報を抜き取られていたとのことで、2014年ごろから長期にわたって行われていたことがわかっております。
その後2018年時点でサイバー攻撃に気づいたことで、ようやくセキュリティ対策が施されたとのことです。
 

ICOが掲げる問題提起と制裁金

ICOは先の情報漏洩問題が、マリオット・インターナショナルのセキュリティ対策不足によるものとして判断し、EUにて適用される一般データ保護規則(GDPR)に違反しているとして、制裁金9920万396ポンドを同社に科す判断に至ったようです。

「GDPRは、企業などの組織が保有する個人データに責任を負う必要があることを明確にする。
企業が個人データのセキュリティを保護する義務を果たせないなら、われわれは必要な行動を起こす」(ICO声明発表内容)

また、今回のICOの意向に対して、マリオット・インターナショナルは、
先の問題に対しては対処済みであり、対外的に信頼回復に向けた取り組みも進めているとのことから、反論姿勢をとっております。
 

【参考URL】
英当局、マリオットにGDPR違反の制裁金135億円–顧客情報の流出で
Marriott InternationalにGDPR侵害で約135億円の制裁金 個人情報流出で